📝
Amazon GuardDutyってなんだろ?
Amazon GuardDutyについて調べてみました。
Amazon GuardDuty(マネージド型脅威検出サービス)| AWS
概要
- AWSアカウントやデータを保護するために、悪意のあるアクティビティや不正な動作を継続的にモニタリングする脅威検出サービス
- 機械学習、異常検出、統合された脅威インテリジェンスを使用して潜在的な脅威を識別し、優先順位を付ける
- AWS CloudTrail イベントログ、VPC フローログ、DNS ログなどを分析
- マネジメントコンソールを数回クリックするだけで有効化
- ソフト、ハードは不要
- CloudWatch Events と統合することで、GuardDuty アラートを作成可能
メリット
- 総合的な脅威の特定
- ネットワークアクティビティ、データアクセスパターン、アカウント動作を継続的にモニタリングし、脅威を特定
- 暗号化通貨マイニング、認証情報の侵害行為、不正および異常なデータアクセス、既知のコマンドアンドコントロールサーバーとの通信、既知の悪意のある IP からの API コールなどのアクティビティの検出
- オートメーションによるセキュリティ強化
- 対応の自動化も容易にし、是正と復旧にかかる時間を短縮
- CloudWatch Events と Lambda を活用し、自動化された是正アクションを実行
- 調査結果には、IP アドレスと地理的な場所などの、影響を受けたリソースの詳細情報と攻撃者の情報が含まれる
- エンタープライズ規模の一元的な管理
- Organizations を使用して複数アカウントのサポートを提供
- 集約された調査結果は CloudWatch Events からも入手可能
ポイント
- アカウントやデータを保護するサービス
- 機械学習により不正検出
- CloudWatch Eventsなどと連携して通知の自動化も可能
- Organizationsを使用して複数アカウントでの管理も可能
よくある質問 - Amazon GuardDuty | AWS
Q: Amazon GuardDuty とは何ですか?
- AWSアカウント、ワークロード、S3に保存されたデータを継続的にモニタリグおよび保護できる脅威検出機能
- CloudTrailイベント、VPCフローログ、DNSログで見つかったアカウントとネットワークアクティビティから生成されたメタデータの連続ストリームを分析
- 既知の悪意のある IP アドレス、異常の検出、機械学習などの統合された脅威インテリジェンスを使用して、脅威をより正確に識別
Q: Amazon GuardDuty の主な利点は何ですか?
- 簡単に継続的モニタリングが可能
- リソースとは完全に独立して動作するため、ワークロードにパフォーマンスや可用性の影響を及ぼすリスクがない
- アラート通知の実装が簡単
- 追加のソフトなどは不要で従量課金
Q: Amazon GuardDuty にはどれくらいのコストがかかりますか?
- 分析された CloudTrailイベントの数、VPCフローログとDNSログデータの量に基づく
- 分析のためにこれらのログソースを有効にする追加料金はない
- CloudTrail 管理イベント分析
- 1 月あたり 1,000,000 イベント単位で課金され、日割り計算
- CloudTrail S3 データイベント分析
- 1 月あたり 1,000,000 イベント単位で課金され、日割り計算
- VPC フローログと DNS ログの分析
- 1 か月あたりのギガバイト (GB) 単位で課金
- 段階的な従量制割引
Q: 無料トライアルはありますか?
- 無料で 30 日間
- すべての機能セットと検出が使用可能
- 1 日あたりの推定平均サービス料を表示
Q: Amazon GuardDuty と Amazon Macie の違いは何ですか?
- GuardDutyの以下の脅威を識別することで幅広く保護
- 攻撃者の偵察
- インスタンスの侵害
- アカウントの侵害
- バケットの侵害
- Macie は、所有しているデータと、そのデータに関連付けられているセキュリティおよびアクセスコントロールを分類
- S3 の機密データを検出して保護することも可能
Q: Amazon GuardDuty は、リージョン別またはグローバルのどちらのサービスですか?
- GuardDuty はリージョン別のサービス
Q: Amazon GuardDuty を有効にするにはどうすればよいですか?
- マネジメントコンソールでわずか数回クリックするだけ
Q: Amazon GuardDuty で複数のアカウントを管理できますか?
- 複数のアカウントを 1 つのマスターアカウントから関連付けて管理できる複数アカウント機能がある
- CloudWatch Events もマスターアカウントに集約可能
Q: Amazon GuardDuty ではどのようなデータソースを分析するのですか?
- CloudTrail
- VPC フローログ
- DNS ログ
Q: アカウントで Amazon GuardDuty を有効にすると、パフォーマンスや可用性に何か影響はありますか?
- AWS リソースとは完全に独立して動作するため、アカウントやワークロードに影響を及ぼすリスクはない
Q: Amazon GuardDuty はログを管理または保持しますか?
- ログの管理と保持はしない
- すべてのデータは、ほぼリアルタイムで分析されて破棄される
- 効率的で費用効果が高い
- データの残留のリスクが軽減
- ログの配信と保持のためには、AWS のログ記録とモニタリングのサービスを使用
ポイント
- リソースに影響しない
- 全機能が無料で30日間使用可能
- Macieと比べると守備範囲が広い
- リージョン別のサービスである
- コンソールですぐに有効化できる
- CloudTrailログ、VPC フローログ、DNS ログを継続的に分析
- ログの管理と保持はしない
【初心者向け】AWSの脅威検知サービスAmazon GuardDutyのよく分かる解説と情報まとめ | DevelopersIO
「GuardDutyはすべてのAWSユーザが利用すべきサービス」
GuardDutyとは
- AWSアカウントやAWS環境に対する脅威検知サービス
- AWS環境のセキュリティを継続的にチェック
- 各種ログを自動的に取得して、機械学習で分析して異常を通知
- 使用方法は有効化するだけ
なぜGuardDutyが必要なのか?
- インターネット上のリソースに対する攻撃リスク
- オンプレの開発や個人環境はインターネットから離れていて攻撃されにくかった
- クラウドではインターネットアクセス可能な分リスクが高い
- クラウドでの開発や個人環境では適切な保護が必要
- 不正な動作はすぐに検知する必要がある
- AWSアカウントへの攻撃リスク
- IAMのクレデンシャル情報流出
- EC2を使ったコインマイニングなど
- 普段使わないリージョンで実施されることが多いため請求まで気づきにくい
- クラウド環境は従量課金でリソースが調達しやすいため、オンプレミスよりも的になりやすい
- IAMのクレデンシャル管理を適切に行いつつ、万が一の事があったときにすぐに気づける必要がある
- IAMのクレデンシャル情報流出
GuardDutyの原理と動作
- 各種AWSのログを収集している
- AWSへのAPIコールを記録するCloudTrailのイベントログ
- VPC内のトラフィックを記録するVPC Flow Logs
- 各種リソースからのDNSログ
- ログを機械学習とAIで分析している
- 不正なIPの情報など既存の脅威情報を活用している
- 通常の利用と異なるリクエストなどを検知している
- リスクレベルを10段階で評価する
なお、分析するためのCloudTrailやVPC Flow Logsのログについては、利用者が有効化していなくてもAWSがバックグラウンドで取得している情報を使うため、GuardDutyを利用するためにそれぞれを有効化する必要はありません。ただし、実際に脅威を検知したあと調査をする段階で役に立つため、それぞれのログも有効化しておくと良いでしょう。
運用(実際に検知したらどうするか)
- 何かあればCloudWatch EventとSNSを介して通知
ポイント
- すべてのAWSユーザが利用すべきサービス
- クラウドならではの攻撃への対策
コンソール
まとめ
今回はAmazon GuardDutyについて調べてみました。
以下がポイントでした。
- アカウントやデータを保護するサービス
- 機械学習により不正検出
- CloudWatch Eventsなどと連携して通知の自動化も可能
- Organizationsを使用して複数アカウントでの管理も可能
- リソースに影響しない
- 全機能が無料で30日間使用可能
- Macieと比べると守備範囲が広い
- リージョン別のサービスである
- コンソールですぐに有効化できる
- CloudTrailログ、VPC フローログ、DNS ログを継続的に分析
- ログの管理と保持はしない
- すべてのAWSユーザが利用すべきサービス
- クラウドならではの攻撃への対策
参考になれば幸いです。
Discussion